{"id":10805,"date":"2022-01-07T12:00:20","date_gmt":"2022-01-07T11:00:20","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=10805"},"modified":"2024-02-13T15:21:22","modified_gmt":"2024-02-13T14:21:22","slug":"log4shell","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2022\/01\/07\/log4shell\/","title":{"rendered":"Zero-Day-Sicherheitsl\u00fccke Log4Shell"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_10805 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_10805')){$('.twoclick_social_bookmarks_post_10805').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2022\\\/01\\\/07\\\/log4shell\\\/\",\"post_id\":10805,\"post_title_referrer_track\":\"Zero-Day-Sicherheitsl%C3%BCcke+Log4Shell\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_10812\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-10812\" class=\"wp-image-10812 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920-300x178.jpg\" alt=\"Warnzeichen \u201eSecurity Alert\u201c \" width=\"300\" height=\"178\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920-300x178.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920-1024x609.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920-768x457.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920-1536x914.jpg 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/01\/security-gb4a19cb53_1920.jpg 1920w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-10812\" class=\"wp-caption-text\">Quelle: <a href=\"https:\/\/pixabay.com\/de\/photos\/sicherheit-alarm-monitor-cyber-5043368\/\">Pixabay<\/a><\/p><\/div><\/p>\n<p>Am 10. Dezember 2021 wurde eine \u00fcberaus kritische, da trivial auszunutzende, Sicherheitsl\u00fccke (Log4Shell) in der Standardbibliothek Log4J bekannt. Seit deren Bekanntwerden liefern sich Hacker*innen und Sicherheitsfachleute ein Wettrennen um die Zeit. \u201eEine erfolgreiche Ausnutzung der Schwachstelle erm\u00f6glicht eine vollst\u00e4ndige \u00dcbernahme des betroffenen Systems\u201c, lautet die eindringliche Warnung von Arne Sch\u00f6nbohm, Pr\u00e4sident des <a href=\"https:\/\/www.bsi.bund.de\/DE\/Home\/home_node.html\">Bundesamtes f\u00fcr Sicherheit in der Informationstechnik<\/a> (BSI).<\/p>\n<p><!--more--><\/p>\n<p>Die Liste derer, die Log4j einsetzen und damit potenzielle Ziele sind, ist lang und umfasst wegen der Verwendung in weitverbreiteten kommerziellen Software-Produkten neben globalen Unternehmen wie Apple, Google, Tesla und Amazon, auch mehrere deutsche Bundesbeh\u00f6rden und Hochschulen. Grund genug f\u00fcr Bundesamt f\u00fcr Sicherheit in der Informationstechnik die Warnstufe Rot auszurufen: es handelt sich um eine \u201eextrem kritische IT-Sicherheitslage\u201c, denn \u201ediese kritische Schwachstelle hat demnach m\u00f6glicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von Log4j Teile der Nutzeranfragen protokollieren\u201c. Das Internet wird automatisiert und umfassend von Cyber-Kriminellen nach Servern und Anwendungen durchsucht, die Log4j nutzen und somit der Gefahr der feindlichen \u00dcbernahme ausgesetzt sind. Erste erkannte Attacken bestanden in der Installation von Programmen auf Servern, deren Rechenleistungen zur Vermehrung von Kryptow\u00e4hrungen dienten.<\/p>\n<p>Besonders t\u00fcckisch ist die M\u00f6glichkeit der Ausf\u00fchrung sp\u00e4terer Angriffe. So kann die Sicherheitsl\u00fccke als Vorbereitung des eigentlichen Angriffs dienen. In diesem Fall nisten Cyber-Kriminelle sich durch noch nicht gesicherte L\u00fccken in Servern ein und schlagen gegebenenfalls sp\u00e4ter \u00fcberraschend zu, um die Kontrolle \u00fcber gr\u00f6\u00dfere Teile eines Netzwerks oder Systems zu \u00fcbernehmen. Somit wird das Ausma\u00df dieser Sicherheitsl\u00fccke erst viel sp\u00e4ter sichtbar.<\/p>\n<h4>Aber was genau ist eigentlich Log4J?<\/h4>\n<p>1996, in einer Zeit als Java-Standardbibliotheken noch keine Protokollfunktion (Logging) hatten, entstand das Log4J &#8211; J f\u00fcr Java. Heutzutage ist es aufgrund der Konfigurierbarkeit f\u00fcr viele Entwickler*innen und Administrator*innen das Protokollsystem zu einem De-facto-Standard geworden. Mit dem Erfolg des Projektes fand es auch Anwendung in weiteren Programmiersprachen und auf unz\u00e4hligen Plattformen statt.<\/p>\n<p>Dabei handelt es sich um eine so genannte Open-Source-Software. Dies bedeutet, dass der Quellcode offen liegt und somit Fachleute ihn pr\u00fcfen und frei nutzen k\u00f6nnen. Allerdings werden Open-Source-Projekte h\u00e4ufig von Nutzergemeinschaften in deren Freizeit programmiert und weiterentwickelt. Daher fehlt es bisweilen an regelm\u00e4\u00dfigen professionellen Sicherheitschecks. So kam es 2014 zu einer Schwachstelle der weitverbreiteten Open-Source-Softwarekomponente OpenSSL zur Absicherung von Internetverbindungen. Die unter dem Namen <a href=\"https:\/\/heartbleed.com\/\"><em>Heartbleed<\/em> <\/a>bekannt gewordene Schwachstelle erm\u00f6glichte Cyber-Kriminellen den Zugriff auf Login-Daten und sensible Informationen. Diese Schwachstelle wurde erst nach 27 Monaten entdeckt.<\/p>\n<p><strong>Log4Shell auch an der RWTH Aachen<\/strong><\/p>\n<p>Die Zero-Day-Sicherheitsl\u00fccke Log4Shell in der\u00a0Java-Logging-Bibliothek Log4j hat auch einige Systeme der RWTH Aachen betroffen. Dazu geh\u00f6ren grundlegende Services im Bereich der Lehre und Kollaboration, die insbesondere in Zeiten von Homeoffice und Online-Lehre elementar sind.\u00a0Als erste Sofortma\u00dfnahme\u00a0nach Bekanntwerden des Sicherheitslecks am 10. Dezember 2021 wurden die entsprechend gef\u00e4hrdeten Systeme des IT Centers \u00fcberpr\u00fcft und geeignete Ma\u00dfnahmen eingeleitet. Dazu geh\u00f6rte auch die Abschaltung einzelner Systeme, wie etwa\u00a0<a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/b2b7729fd93f4c7080b475776f6b5d87\/\">Coscine<\/a>,\u00a0<a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/44830fa165f14469be64823f6016cd9e\/\">DigitalArchiv<\/a>,\u00a0<a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/1jeqhtat4k0o3\/\">GigaMove<\/a>,\u00a0<a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/ubrf9cmzd17m\/\">GitLab<\/a>, und der\u00a0<a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/8d9eb2f36eea4fcaa9abd0e1ca008b22\/article\/ee8e34211b3e4ea4966af6fac52c9781\/\">RWTH-Streamingserver (Opencast)<\/a>.<\/p>\n<p>Nach Bereitstellung von Informationen zu sicherheitsrelevanten Java-Einstellungen\u00a0sowie\u00a0Patches zur Schlie\u00dfung der Sicherheitsl\u00fccke\u00a0von den Herstellern, wurden diese unmittelbar im Produktivsystem eingespielt. In allen F\u00e4llen ging dem zun\u00e4chst eine erfolgreiche Pr\u00fcfung im Testsystem voraus. Aufgrund der hohen Aktualit\u00e4t und Brisanz haben sich allerdings nicht alle Konfigurationen und Patches als hinreichend wirksam erwiesen, so dass regelm\u00e4\u00dfig neue Updates dieser kamen.<\/p>\n<p class=\"paragraph\" style=\"margin: 0cm; margin-bottom: .0001pt; vertical-align: baseline;\"><span class=\"normaltextrun\"><span style=\"font-size: 11.0pt; font-family: 'Arial',sans-serif;\">Die derzeit g\u00fcltigen Aktualisierungen wurdenauf alle betroffenen Systemen eingespielt und\u00a0die entsprechenden Services konnten am 20.12.2021 bzw. 21.12.2021 reaktiviert werden. Grundlage f\u00fcr die Entscheidung zur Reihenfolge der Inbetriebnahme der Systeme war neben der Priorit\u00e4t f\u00fcr Lehre und Hochschulbetrieb auch die Verwundbarkeit des jeweiligen Systems sowie die Verf\u00fcgbarkeit der n\u00f6tigen Patches.\u00a0<\/span>\u00a0<\/span><\/p>\n<p class=\"paragraph\" style=\"margin: 0cm; margin-bottom: .0001pt; vertical-align: baseline;\"><strong><br \/>\nEine Chronologie der Ereignisse\u00a0 <\/strong><\/p>\n<ul>\n<li>21.12.2021 Reaktivierung des RWTH-Streamingservers (Opencast)<\/li>\n<li>20.12.2021 Wiederinbetriebnahme von Coscine, DigitalArchiv, GigaMove und GitLab<\/li>\n<li>16.12.2021 Abschaltung des RWTH-Streamingservers (Opencast)<\/li>\n<li>14.12.2021 Teil-Inbetriebnahme vom GitLab<\/li>\n<li>13.12.2021 Abschaltung von Coscine, DigitalArchiv, GigaMove, GitLab<\/li>\n<li>11.12.2021 Gew\u00e4hrung des vollen Zugriffs auf RWTHonline<\/li>\n<li>10.12.2021 Bekanntwerden der Sicherheitsl\u00fccke Log4Shell: Start der \u00dcberpr\u00fcfung gef\u00e4hrdeter Systeme am IT Center und Einschr\u00e4nkung des Zugriffs auf RWTHonline<\/li>\n<\/ul>\n<p>N\u00e4here Informationen zur Zero-Day-Sicherheitsl\u00fccke Log4Shell k\u00f6nnt ihr der\u00a0<a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Empfehlungen-nach-Angriffszielen\/Webanwendungen\/log4j\/log4j_node.html;jsessionid=71BB4DD2446296E0BA3FEA440C755FF0.internet472\">Webseite vom BSI<\/a> entnehmen.<\/p>\n<p>&nbsp;<\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x9356740536A0D54BAE2FFB25A85C91DA&amp;allou=1\">Anastasios Krikas<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/go\/id\/epvp\/gguid\/0x178A69B715E4B24AB87DCFA4BC438FD7\/allou\/1\/\">Nicole Kaminski<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Am 10. Dezember 2021 wurde eine \u00fcberaus kritische, da trivial auszunutzende, Sicherheitsl\u00fccke (Log4Shell) in der Standardbibliothek Log4J bekannt. Seit deren Bekanntwerden liefern sich Hacker*innen und Sicherheitsfachleute ein Wettrennen um die [&hellip;]<\/p>\n","protected":false},"author":1859,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[61,229,228],"class_list":["post-10805","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","tag-it-sicherheit","tag-log4j","tag-log4shell"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/10805","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/1859"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=10805"}],"version-history":[{"count":9,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/10805\/revisions"}],"predecessor-version":[{"id":18560,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/10805\/revisions\/18560"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=10805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=10805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=10805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}